[发明专利]基于虚假拓扑生成的网络防护方法及系统和系统架构

说明书

本发明属于网络安全技术领域，特别涉及一种基于虚假拓扑生成的网络防护方法及系统和系统架构，该方法包含：依据网络相关信息为网络中不同真实主机节点分别构建不同的虚假网络拓扑，其中，网络相关信息至少包含蜜罐信息、子网数及真实主机节点信息；根据目的主机节点在虚假网络拓扑中位置来调整目的主机节点应答报文时延及链路带宽；结合传输至蜜罐的相关数据包并利用SDN控制器对SDN交换机的流规则流量统计来识别恶意流量来源主机，将识别到的主机进行隔离。本发明针对现有静态网络中易被网络侦查得到真实网络配置等问题，利用拟态防御的思想通过构建虚假网络拓扑来欺骗内部攻击者，以保护网络中良性主机，提升网络运行稳定性和可靠性。

技术领域

本发明属于网络安全技术领域，特别涉及一种基于虚假拓扑生成的网络防护方法及系统和系统架构。

背景技术

虽然网络和主机的静态配置简化了可达性和可管理性，但是这也使网络侦查更加简单。攻击者可以执行网络侦查并识别可利用的漏洞，为攻击者提供战术优势。特别是，内部攻击者探测联网环境，可以识别主机和开放端口，并映射其拓扑以查找已知的漏洞或零日漏洞，以执行进一步的攻击操作。APT等复杂的定向攻击依靠网络指纹来识别主机和漏洞。根据权威统计，多达百分之七十的网络攻击是由网络侦查引起的。

攻击者利用静态网络配置不仅可以扫描网络并快速准确地确定目标从而进行有效地计划和发动攻击，还可以轻松地学习和规避检测。例如，如果攻击者选择低速率扫描，安全设备对扫描攻击的可见性会非常小，从而对手的攻击会规避扫描。即使攻击持续进行，网络也不会有任何抵抗。已有研究表明，如果蠕虫以每分钟一次的扫描速度扫描网络的话，它就可以规避掉所有主要的检测技术。欺骗的主要思想就是主动地将错误的网络配置信息发送给攻击者，诱导攻击者得出错误的信息，从而达到保护脆弱主机的目的。

发明内容

为此，本发明提供一种基于虚假拓扑生成的网络防护方法及系统及系统架构，针对现有静态网络中易被网络侦查得到真实的网络配置等问题，利用拟态防御的思想通过构建虚假网络拓扑来欺骗内部攻击者，以保护网络中良性主机，提升网络运行稳定性和可靠性。

按照本发明所提供的设计方案，一种基于虚假拓扑生成的网络防护方法，用于欺骗内部攻击者以提升网络安全，包含如下内容：

依据网络相关信息为网络中不同真实主机节点分别构建不同的虚假网络拓扑，其中，网络相关信息至少包含蜜罐信息、子网数及真实主机节点信息；

根据目的主机节点在虚假网络拓扑中位置来调整目的主机节点应答报文时延及链路带宽；

结合传输至蜜罐的相关数据包并利用SDN控制器对SDN交换机的流规则流量统计来识别恶意流量来源主机，将识别到的主机进行隔离。

作为本发明基于虚假拓扑生成的网络防护方法，进一步的，在SDN控制器和SDN交换机之间的网络链路上设置欺骗服务器；欺骗服务器依据SDN交换机转发的真实主机节点动态主机配置协议报文获取真实主机节点的网络地址信息，其中，网络地址信息包含IP地址、网关地址及DNS服务器地址；网络视图生成器依据该网络地址信息为真实主机节点生成虚假网络拓扑，并将虚假网络拓扑发送给欺骗服务器和SDN控制器。

作为本发明基于虚假拓扑生成的网络防护方法，进一步地，调整应答报文延时及链路带宽时，SDN交换机为目的主机节点发送的数据包添加基于VLAN的标签并转发；通过流量排队识别标签并进行延迟传输。

作为本发明基于虚假拓扑生成的网络防护方法，进一步地，SDN控制器依据SDN交换机请求的转发流表来判断目的主机节点是否为蜜罐，若目的主机节点为蜜罐，则判定数据包为恶意流量。

作为本发明基于虚假拓扑生成的网络防护方法，进一步地，针对恶意流量来源主机，SDN控制器请求SDN交换机的流统计数据，通过统计被传输到蜜罐的数据包数量来识别恶意流量来源主机并进行隔离。